General Data Protection Regulation. EY přístup a řešení. SAS Business Breakfast

Podobné dokumenty
Mýty v řízení rizik podvodu. Tomáš Kafka Partner Forenzní služby

Představení služeb Konica Minolta GDPR

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

Průmysl 4.0 z pohledu české praxe. Výsledky průzkumu Srpen 2016

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Poradenské služby v oblasti finančního účetnictví. IFRS 15 nový standard upravující účtování výnosů

Energetická témata pro IA. Jiří Mlynář 7 November 2014

Financování nových technologií vedoucí k provozním úsporám

Hlavní zásady regulace cen tepelné energie. Třebíč Listopad 2016

JAK SE PŘIPRAVIT NA GDPR?

Strategický pohled na 3D tisk: příležitost pro další rozvoj firmy. Ing. Ivana Hrbková 31. května 2017

Daňové aspekty transakcí u nemovitostí. Eva Zemanová EY

Víte, kolik procent strategií je úspěšně implementováno? EY diskusní setkání Veřejné strategie v české praxi 28. května 2015

Nová pravidla ochrany osobních údajů

Obecné nařízení o ochraně osobních údajů

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Dopady GDPR a jejich vazby

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Benchmarking ve vodárenství

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Jak bojovat s GDPR? Martin 9. března 2017

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR: příležitosti k úsporám. Martin Hladík 30. listopadu 2017

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Systémová analýza a opatření v rámci GDPR

LETTER 5/2017 NEWSLETTER 5/2017. Nová právní úprava ochrany osobních údajů nařízení GDPR

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

GDPR ochrana osobních údajů

Průmysl 4.0 Výsledky průzkumu

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Kam kráčíš, Česká republiko, aneb ČR za 25 let. 21. dubna 2016 Magdalena Souček, Petr Knap

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

GDPR v sociálních službách

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Politika ochrany osobních údajů

Strategický pohled na 3D tisk: příležitost pro další rozvoj firmy. Ivana Hrbková 30. listopadu 2016

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

Czech Smart City Index. Květen 2017

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Informace o zpracování osobních údajů

Déle než rok se účastníme diskusí s předními odborníky v oboru a poskytujeme našim partnerům poradenství s přípravami na GDPR.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

V Praze 4. dubna 2018

ORGANIZAČNÍ ŘÁD ŠKOLY

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Informatický pondělek FIT ČVUT. Jak pracovat s osobními daty od roku 2018?

Souhlas subjektů údajů NOVÁ, ZRANITELNÁ, INFORMAČNĚ CENNÁ, CENTRÁLNÍ DB 9/11/2017. seminář DPO. dle GDPR. Září 2017

Zvýšení efektivity a transparentnosti veřejné správy prostřednictvím rozvoje využití a kvality systému IKT EGORVERNMENT I.

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Finanční aspekty projektů LIFE

Projekt GDPR-CZ. innogy Přístup k projektu v oblasti HR. Agenda. 19/11/2017 Page 1. Praha 23. listopadu Úvod a cíle projektu.

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Business Breakfast českého nákupu Nákup a nákupní prostředí v České republice

INTEGROVANÉ PRÁVNÍ, DAŇOVÉ, ÚČETNÍ A AUDITORSKÉ SLUŽBY

Jak se pozná, že firma míří do úpadku? Na co si mají manažeři dávat pozor? David Zlámal

Seznam vzorů, které naleznete v publikaci:

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Zásady ochrany a zpracování osobních údajů

Prohlášení o ochraně osobních údajů ve společnosti. ZPS-TRANSPORT, a.s.

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

ŠPATNÉ PŘÍKLADY IMPLEMENTACE GDPR

GDPR Projekt GDPR Compliance

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Očekávané dopady GDPR do pojišťovnictví

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Prohlášení o ochraně osobních údajů ve společnosti. TAJMAC-ZPS, a.s.

GORDIC a GDPR? Připraveno!

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

General Data Protection Regulation (GDPR) Jak na to?

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

INTERKOV CZ spol. s r.o.

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Ochrana osobních údajů (GDPR)

Informační memorandum Český hudební fond, o.p.s.

S GDPR nepřijde konec světa

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Příprava IS na příchod GDPR změny je potřeba nastartovat včas. Jan Zahradníček AK Velíšek & Podpěra

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Směrnice č. 13/2018. Ochrana osobních údajů

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

APLIKACE GDPR V PROSTŘEDÍ OBCÍ. Tereza Šamanová GDPR školení pro obce Kraj Vysočina

GDPR, eidas Procesní nebo technologický problém?

Transkript:

General Data Protection Regulation EY přístup a řešení SAS Business Breakfast

Competence. Coordination. Engagement. Agenda 01 Klíčové oblasti GDPR 02 Business a IT dopady GDPR 03 Fáze GDPR projektu 04 Klíčové požadavky GDPR a jejich řešení

Část 1 Klíčové oblasti GDPR GDPR - EY přístup a řešení 2

Klíčové oblasti GDPR 1 Zákonnost zpracování, souhlasy Povinnost prokázat právní základ pro pořízení a zpracování osobních údajů. Zavedení různých druhů souhlasů. Souhlasy musí být zřetelné oddělené od dalších dokumentů. 4 Záměrná a standardní ochrana Při návrhu či používání systému je nezbytné učinit opatření pro ochranu osobních údajů (pseudonymizace, minimalizace používání osobních údajů). 2 Nová práva subjektů údajů Regulace zavádí nová práva: právo být informován, právo být zapomenut, právo nebýt zpracováván a vyhodnocován automatizovanými procesy, právo na portabilitu dat. 5 Zodpovědnost Společnost musí přijmou opatření a zavést procesy a mechanismy pro ochranu osobních údajů v celém jejich životním cyklu. Soulad s požadavky musí být dostatečně zdokumentován, aby byl prokazatelný. Data Protection Officer Sankce 3 Mandatorní zřízení funkce DPO, který musí mít příslušné odborné znalosti. Dále je potřeba zajistit přímý přístup k nejvyššímu vedení společnosti, dostatečné zdroje a řídit možné střety zájmů. 6 Zavádí se nové významné sankce (max. 4% celosvětového obratu nebo 20 mil EUR). GDPR - EY přístup a řešení 3

Část 2 Business a IT dopady GDPR GDPR - EY přístup a řešení 4

Business dopady GDPR přístup k analýze GDPR Zákon č. 101/2000 Sb., o ochraně osobních údajů Klienti Strukturované, dokumentované, IT systémy a DWH, vyšší soulad se zákonem Neklienti Různé procesy, hůře dokumentované, často ve formě excelů, nižší úroveň souladu se zákonem Vznik Pobočky, externí distribuce, online HR, distribuce, prodej, online kanály Správa Procesy Postoupení, CRM, inkaso Změny ve smlouvách se zaměstnanci/třetími stranami, apod. Třetí strany Externí call centrum, inkasní agentura, centrála Personální agentury, apod. Ukončení smlouvy Ukončení klientem, expirace určitých dat Archivace Žadatelé Existence klientského souhlasu, využití údajů Žadatelé, nabídky Využívání dat Modelování, scoring, marketing HR statistiky IT Systémy Data Infrastruktura GDPR - EY přístup a řešení 5

IT dopady GDPR možná řešení Požadavky GDPR Kroky nutné pro naplnění požadavku Možné řešení nebo návrh na automatizaci Zodpovědnost Vypracování dokumentace o výskytech osobních údajů v organizaci a v procesech zpracování Revize rozsahu používaní osobních údajů Zajištění doložitelnosti jednotlivých opatření vůči subjektu údajů či vůči regulátorovi Vytvoření registru osobních údajů Automatizované mapování výskytu osobních údajů v organizaci Zavedení nástrojů pro prevenci úniku dat Zavedení nástrojů pro detekci neoprávněného přístupu Zákonnost zpracování Vypracování dokumentace o výskytech osobních údajů v organizaci a v procesech zpracování Revize způsobu používání a lhůt zachování osobních dat v systémech organizace, či v papírové podobě Vytvoření registru osobních údajů Využití nástrojů a technik pro automatizované mapování výskytu nebo mazání dat Nová práva subjektu údajů Vypracování dokumentace o výskytech osobních údajů v organizaci a v procesech zpracování Identifikace dopadů nových práv subjektů na procesy a systémy Verifikace systémové podpory realizace jednotlivých požadavků a prioritizace implementačních aktivit Vytvoření registru osobních údajů Využití nástrojů a technik pro automatizované mapování výskytu nebo mazání dat Využití technik pseudonymizace nebo anonymizace dat ve zpracování osobních údajů Souhlasy Verifikace procesu získání svobodného, odlišitelného a jasně doložitelného souhlasu Zavedení procesu informování klienta o možnosti odebrání souhlasu Revize procesů založených na souhlasu a zohlednění jeho existence Zavedení systému evidence souhlasů Integrace na registr osobních údajů GDPR - EY přístup a řešení 6

Část 3 Fáze GDPR projektu GDPR - EY přístup a řešení 7

Typické fáze GDPR projektu (1/2) 1 Zhodnocení připravenosti Náš přístup Výstupy Workshopy a 1:1 schůzky s využitím EY akcelerátoru s cílem zhodnotit současnou shodu s požadavky GDPR a identifikovat nejvíce zasažené oblasti a nutné kroky k vedoucí k nápravě. Cílené a rychlé zhodnocení, které poskytne informaci o míře připravenosti splnit klíčové požadavky GDPR. 2-4 týdny 2 GAP analýza Náš přístup Výstupy 3 Mapování datových toků Detailní dotazníky, schůzky a workshopy s cílem analyzovat současný stav (dokumentaci, procesy a postupy) a identifikovat všechny rozdíly oproti požadavkům GDPR. Náš přístup Detailní dotazníky, schůzky a workshopy s cílem zmapovat, které osobní údaje, ve kterých procesech a jakým způsobem organizace zpracovává. Detailní zhodnocení, které ukáže shodu s jednotlivými požadavky GDPR, identifikuje klíčové nesoulady a rizika, dopady, návrh variant a roadmapu pro implementaci. Výstupy Dokumentace o výskytu osobních údajů v procesech a souvisejících systémech a o způsobu zpracování v celém jejich životním cyklu. 4-8 týdnů* 4-8 týdnů* * Závisí na počtu procesů/systémů; je možné realizovat paralelně GDPR - EY přístup a řešení 8

Typické fáze GDPR projektu (2/2) 4 Vyhodnocení a prioritizace* Náš přístup Výstupy 5 6 Detailní analýza Implementace U každého nesouladu nebo skupiny nesouladů regulace popíšeme riziko včetně možných sankcí či jiné újmy a vyhodnotíme závažnost daného nesouladu a náročnost implementace nápravného opatření. Náš přístup Workshopy s business a IT útvary s cílem detailně analyzovat dopady dle priorit, navrhnout možné varianty řešení, včetně odhadu časování a nákladů na jejich implementaci. Náš přístup Návrh a implementace specifického IT řešení ve spolupráci s našimi technologickými partnery. Heat-mapa za nesoulady/systémy a návrh priorit a dalších kroků. Výstupy Detailní analytické dokumenty, které budou podkladem pro implementaci opatření a návrh roadmapy pro implementaci cílového stavu. Výstupy Ucelená dodávka specifického IT řešení. 1-2 týdny 2-4 měsíce* 6-12 měsíců* * Fáze 4 je nedílnou součástí Fáze 2/3 GDPR - EY přístup a řešení 9

Část 4 Klíčové požadavky GDPR a jejich řešení GDPR - EY přístup a řešení 10

Registr osobních údajů (data inventory) Přehledová vrstva: Oblasti, Systémy, Řešení GDPR požadavků a mapování na detailní vrstvu Soulad GDPR Sběr a pořizování údajů Využití údajů Sdílení údajů Uchování údajů Oblast CRM Oblast Sales Oblast Plateb Core systém WEB, Portal DW, Call center, Agent DW, Call centre, Agent Externí agentura Core systém DW Výmáhaní, platby Policie, Právní kancelář Anonymizace Pseudonymizace Šifrování Minimalizace Správa smluv Core systém HQ, Regulatory Digital Archive Monitoring Finance HR HR systém Security Proces vymazání Informace o zaměstnanci Informace o klientovi Informace o klientovi Informace o klientovi Informace o klientovi Vysvětlivky: Oblast zpracování Citlivé informace zaměstnance Informace o používání produktů Profil klienta Profil klienta Informace o používání produktů Citlivá data klienta Informace o používání produktů Kategorie os. údajů IT systém agendy GDPR opatření GDPR - EY přístup a řešení 11

Souhlasy Zpřesněné požadavky na souhlasy mají zásadní dopad do zpracování dat subjektu i do systémů, které tato data zpracovávají: Registr osobních údajů Subjekt musí být informován o účelu sběru a zpracování os. údajů na základě souhlasu Před zpracováním vyžadujícím souhlas musí proběhnout kontrola na jeho existenci (doložitelná) Klient Agent Zaměstnanec Smlouvy Platby V případě neexistence souhlasu ani jiného zákonného důvodu se musí subjekt vynechat ze zpracování (os. údaje se nadále nesmí využívat) Pokud klient vznesl námitku, tak se musí pozastavit jeho zpracování os. údajů Core system Web Mobilní aplikace CRM HR Při požadavku na smazání os. údajů, které podléhají souhlasu, musí být tyto údaje vymazány (popř. anonymizovány) Zpracovatel musí mít systém pro řízení souhlasů Business procesy a IT systémy musí brát v úvahu omezení vyplývající ze souhlasů Celý proces musí být doložitelný Udělení souhlasu Omezení zpracování Odebrání souhlasu Požadavek na omezení zpracování Ověření existence souhlasu Zrušení požadavku na omezení zpracování Šifrování Minimalizace Monitoring Security Proces vymazání Klíčové aspekty souhlasu: Pro konkrétní účel Jednoznačný Jednoduše odvolatelný Specifika souhlasů pro nezletilé a jeho udělení zákonným zástupcem Ověřovaní zákonného zástupce Databáze souhlasů Identifikace subjektu Časové záznamy Platnost Typ změny Profil klienta HR citlivé údaje Citlivé údaje klienta GDPR - EY přístup a řešení 12

Prevence úniku dat (Data Leakage Prevention) Pouze 4% z úniků dat byly bezpečné úniky tzn. kde data byla šifrovaná a nezneužitelná (více na http://breachlevelindex.com) Data Leakage Prevention je program detekce a prevence úniku důvěrných informací z organizace. Důsledky porušení: sankce, ztráta důvěry, pokles businessu, ztráta konkurenční výhody. Ztráta nebo krádež notebooků a mobilních zařízení Neoprávněný přenos dat na přenositelná media V GDPR nově: hlášení o úniku a vyšší sankce Pro efektivní ochranu musíme znát: Místa, kde jsou data uložena, kdo a jak s nimi pracuje Rizika a vektory úniku dat Oblasti monitoringu a ošetřené právní důsledky monitoringu Citlivá data uložená v nezabezpečených úložištích Typické vektory úniku dat Sdílení souborů/p2p Nástroje a řešení pro DLP: Kontrola uživatelů, kontrola a monitoring provozu, monitoring neobvyklých operací, preventivní opatření Identity access management Instant messaging, sociální média, osobní e-mail Firemní e-mail Politiky, standardy a interní směrnice Kopírování a tisk citlivých dat GDPR - EY přístup a řešení 13

Největší výzvy GDPR z pohledu zpracování dat a IT Přehled o zpracovávání a uchovávání dat (Registr, Data inventory) Data governance z hlediska GDPR Analýza osobních dat v datových zdrojích, datových tocích Detekce a monitoring výskytu os. údajů Systémová podpora nových práv Sdílení údajů Výmaz údajů Přenos údajů Zohlednění souhlasů při řízení zpracování Správa a kontrola souhlasů v požadované struktuře včetně on-line kontroly GDPR - EY přístup a řešení 14

EY Assurance Tax Transactions Advisory Informace o EY EY je předním celosvětovým poskytovatelem odborných poradenských služeb v oblasti auditu, daní, transakčního a podnikového poradenství. Znalost problematiky a kvalita služeb, které poskytujeme, přispívají k posilování důvěry v kapitálové trhy i v ekonomiky celého světa. Výjimečný lidský a odborný potenciál nám umožňuje hrát významnou roli při vytváření lepšího prostředí pro naše zaměstnance, klienty i pro širší společnost. Název EY zahrnuje celosvětovou organizaci a může zahrnovat jednu či více členských firem Ernst & Young Global Limited, z nichž každá je samostatnou právnickou osobou. Ernst & Young Global Limited, britská společnost s ručením omezeným garancí, služby klientům neposkytuje. Pro podrobnější informace o naší organizaci navštivte prosím naše webové stránky ey.com. 2017 Ernst & Young, s.r.o. Všechna práva vyhrazena. ey.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář